SOC Prime Bias: Médio

21 Apr 2026 15:16 UTC

Não Apenas Anúncios Irritantes: Pacotes de Adware Entregando Gh0st RAT

Author Photo
SOC Prime Team linkedin icon Seguir
Não Apenas Anúncios Irritantes: Pacotes de Adware Entregando Gh0st RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma campanha recente entrega o Gh0st Remote Access Trojan juntamente com o componente de adware CloverPlus. Seu carregador oculta dois recursos criptografados, escreve-os em locais escolhidos aleatoriamente e lança o RAT através do rundll32.exe. O malware combina vários métodos de persistência com manipulação de token, sequestro de DNS e registro de teclas para manter o acesso ao longo do tempo, além de gerar receita através de abuso de cliques em anúncios. Seu uso de binários legítimos do Windows e camadas de ofuscação torna a detecção mais desafiadora.

Investigação

O Splunk Threat Research fez engenharia reversa do carregador e confirmou que ele carregava tanto um Gh0st RAT DLL embutido quanto o módulo de adware CloverPlus. A análise comportamental expôs a escalada de privilégios de token, verificações de registro para ambientes baseados em VMware, uso de um resolvedor drop morto, atrasos de sono baseados em ping, spoofing de DNS e múltiplas técnicas de persistência enraizadas no Registro do Windows. Os investigadores também documentaram indicadores, incluindo rundll32.exe execução incomum, lançamentos de payload de %temp%, e modificações específicas do registro vinculadas à cadeia de infecção.

Mitigação

Os defensores devem monitorar o rundll32.exe carregamento de arquivos com extensões incomuns ou a execução de conteúdo de diretórios não padrão. As equipes de segurança também devem bloquear ou alertar sobre a criação da entrada de registro do gerenciador do roteador RemoteAccess e mudanças suspeitas nas chaves Run. Os controles de rede devem restringir o acesso ao URL de resolvedor de drop morto identificado e sinalizar o comportamento de sono baseado em ping associado à evasão de malware. As políticas de controle de aplicações podem reduzir ainda mais o risco, impedindo que DLLs não autorizadas sejam carregadas.

Resposta

Quando esta atividade é detectada, isole o host afetado, colete evidências voláteis juntamente com as DLLs suspeitas e realize consultas baseadas em hash para confirmar a ameaça. Remova quaisquer entradas de registro maliciosas e serviços usados para persistência. Redefina as credenciais expostas, particularmente aquelas ligadas ao uso do RDP, e inspecione as configurações de DNS e o arquivo hosts para alterações não autorizadas. Uma revisão forense completa deve ser realizada para verificar se nenhum backdoor adicional ou payload secundário permanece.

Fluxo de Ataque

Simulação

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me